Jump to content

GPOs in der Domäne - Einige Fragen; mit bitte um Erleuchtung


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Ich habe heute den Tag damit zugebracht, mich etwas intensiver mit dem Handling von GPOs in meiner Firma auseinanderzusetzen. So etwas gab es bisher nicht. Von daher konnte ich mit der Standardkonfiguration beginnen.

 

Soweit habe ich es auch hingebracht, (ggf. einzelnen) Clients Gruppenrichtlinenobjekte erfolgreich zuzuweisen, die entsprechend verarbeitet wurden. Allerdings hätte ich da ein paar Verständnisfragen und allgemeine Fragen, auf deren Antwort ich bisher noch nicht selbst gekommen.

 

Zu allererst: Ich habe mir etwas Gedanken über den Aufbau meiner OUs gemacht. Was sagt ihr dazu? Werde ich da vielleicht etwas zu kleinteilig? Die Firma ein kleineres Unternehmen im Mittelstand, eigentlich sind es zwei Firmen, ist vom Aufbau nicht ganz trivial. (siehe Screenshot)

 

 

Ansonsten:

- Wie werden neu angelegte Objekte zu den Clients synchronisiert, wenn man es nicht per Hand anstößt? Ich habe lediglich mitbekommen, dass im Lauf des heutigen Nachmittags viele Clients die von mir angelegten Objekte verarbeitet haben, aber nicht alle. Gibt's da irgendeine Faustformel? 

- Wofür ist die Delegierung in der Gruppenrichtlinienkonsole da? Nachdem ich sämtliche Rechner in die betreffenden OUs gesteckt habe, haben sie die Objekte von selbst gefressen, ohne dass ich da noch eine Angabe machen muss. Oder täusche ich mich da?

- Es gibt von Microsoft einen Security Compliance Manager (SCM). Ist der brauchbar? Ich konnte im Netz dazu recht wenig finden.

 

Man sieht glaube ich, so wirklich hab ich die Sache jetzt noch nicht verstanden. Vielleicht könnt das Dunkel etwas erhellen.

 

 

bearbeitet von willy-goergen
Link zu diesem Kommentar

Morn Willy,

 

die Frage ist, was willst Du erreichen, was soll erreicht werden mit Gruppenrichtlinienen für welche Computer und Benutzer?

 

Ich war damals für eine Location mit zwei Fachabteilungen zuständig. Mein Bedürfnis war es, ein wenig zu sortieren, ich wollte wissen, wo die sind, also legte ich für jede FA eine ComputerOU an, hinein kamen die Computerkonten. Später kamen Rechner in Aussenstellen der FA's hinzu, also SubOU's anlegen und die Konten hinein.

 

Auch die Benutzer der FA's sortierte ich in jeweils eine OU dafür, jeweils ein GPO mit einem Benutzerstartskript zum Mappen für Netzlaufwerke war das praktisch für mich.

 

Das war der Anfang, da kam denn noch so Einiges dazu. OUs sind ein Hilfsmittel der Administration, der Administrator muss erkennen, was er ebnötigt. Man muss also nicht zu kleinteilig werden, keine SubOU für jedes Büro mit drei Rechnern.

bearbeitet von lefg
Link zu diesem Kommentar

Zu allererst: Ich habe mir etwas Gedanken über den Aufbau meiner OUs gemacht. Was sagt ihr dazu? Werde ich da vielleicht etwas zu kleinteilig?

Meiner Meinung nach ja, aber es kommt halt auf Anforderungen und Administration an.

Warum willst du die PCs nach XP und Win 7 in unterschiedliche OUs einsortieren? Werden die andersgeartet behandelt? Falls ja warum? Falls nein, warum willst du sie dann trennen?

 

 

Ansonsten:

- Wie werden neu angelegte Objekte zu den Clients synchronisiert, wenn man es nicht per Hand anstößt?

Synchronisiert wird da gar nichts. Oder meinst du, wann die konfigurierten Policies beim Client umgesetzt werden? Beim Booten, beim erneuten Anmelden oder per gpupdate (muß auch ohne /force funktionieren).

 

Ich habe lediglich mitbekommen, dass im Lauf des heutigen Nachmittags viele Clients die von mir angelegten Objekte verarbeitet haben, aber nicht alle. Gibt's da irgendeine Faustformel?

Ja, die Faustformel heißt: Es kommt drauf an. Es gibt Policies die werden per Background-Refresh gezogen und es gibt welche die nur beim Reboot oder Neuanmeldung ausgewertet/umgesetzt werden.

 

- Wofür ist die Delegierung in der Gruppenrichtlinienkonsole da? Nachdem ich sämtliche Rechner in die betreffenden OUs gesteckt habe, haben sie die Objekte von selbst gefressen, ohne dass ich da noch eine Angabe machen muss. Oder täusche ich mich da?

Ja, weil der Standard "Authentifizierte User" ist und da sind alle Domänencomputer dabei.

 

Man sieht glaube ich, so wirklich hab ich die Sache jetzt noch nicht verstanden. Vielleicht könnt das Dunkel etwas erhellen.

www.gruppenrichtlinien.de kennst du?

 

Bye

Norbert

Link zu diesem Kommentar
 

...die Frage ist, was willst Du erreichen, was soll erreicht werden mit Gruppenrichtlinienen für welche Computer und Benutzer?

 

Ich möchte damit einerseits den Aufwand für mich reduzieren. Es ist bei einer Firma der Größe nicht besonders sinnvoll, zu jedem persönlich zu kommen und die lokalen Gruppenrichtlinien anzupassen. Irgendwo hab ich auch noch andere Aufgaben.

Es gibt meinerseits den Anspruch, Berechtigungen zentral nach jeweiligen Anwender anzupassen. Sei es, weil ein MA in der Verwaltung Sonderwünsche bei der Konfiguration hat, die ich berücksichtigen möchte oder seien es Rechner in der Produktion, die ggf. etwas beschnitten werden müssen. Dafür möchte ich jetzt nicht immer jeden persönlich besuchen (müssen), weil es eigentlich nicht drin ist.

Andererseits möchte ich eine Übersicht haben.

Es gibt ja viele verschiedene Wege zum Ziel (Stichwort: Anmeldeskripts). Aber ich glaube, dass GPOs relativ wichtig für mich sein könnten.

 

 

 

Meiner Meinung nach ja, aber es kommt halt auf Anforderungen und Administration an.
Warum willst du die PCs nach XP und Win 7 in unterschiedliche OUs einsortieren? Werden die andersgeartet behandelt? Falls ja warum? Falls nein, warum willst du sie dann trennen?

 

Es gibt Starter-Objekte (siehe meine Frage zu SCM), die ich ggf. überlegt habe zu nutzen. Von daher die Aufteilung. Gemacht habe ich diesbezüglich, mangelnder Info, noch gar nichts. Dachte, es könnte ggf. nicht schaden, sich die Dinger mal anzuschauen. Es wäre meiner Meinung nach nur Fatal, eventuelle Änderungen, die eigentlich für XP gedacht sind, bei Win 7 anzuwenden.

 

 

 

Ja, weil der Standard "Authentifizierte User" ist und da sind alle Domänencomputer dabei.

 

Das habe ich auch schon gesehen. Standardmäßig sind die aber bei mir nicht mit dabei. Die müsste ich hinzufügen. (ich glaube in der Delegierung)

 

 

 

www.gruppenrichtlinien.de kennst du?
 

 

Hab ich heute kennengelernt. Der Blog ist sicherlich lesenswert. Hab ihn heute aber nur mal angekratzt.

 

EDIT: Und ich möchte Software über GPO verteilen. Das ggf. anlassbezogen, bzw. je nach Rechnerstandort. Dafür wäre m.E. eine gewisse Aufteilung (die auch funktioniert) nötig.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Du möchtest keine software per gpo verteilen. Ansonsten lies den geposteten Link erstmal, denn ganz viele deiner Grundsatzfragen sind da schon alle erwähnt.

Achso, die Starter-GPOs sind IMHO Müll. Versuch dich erstmal in das Thema reinzuarbeiten, dann wirst du wahrscheinlich schnell zu einem ähnlichen Ergebnis kommen.

 

Bye

Norbert

Link zu diesem Kommentar

Du möchtest keine software per gpo verteilen. Ansonsten lies den geposteten Link erstmal, denn ganz viele deiner Grundsatzfragen sind da schon alle erwähnt.

Achso, die Starter-GPOs sind IMHO Müll. Versuch dich erstmal in das Thema reinzuarbeiten, dann wirst du wahrscheinlich schnell zu einem ähnlichen Ergebnis kommen.

 

 

Nicht ganz korrekt.Ich möchte Software über GPO verteilen. Den geteilen Link schau ich mir schon noch an. Irgendwo steh ich ja noch ziemlich am Anfang.

 

Das kann und will ich nicht verschweigen. 

 

Ich würde es gut finden, wenn du darlegen könntest, warum du das für "Müll" befiindest. Findest du Starter-GPOs schlecht, weil sie halt schlecht sind?

Ein angepasstes System wird da wohl nicht mithalten können. Aber wieso sollte ich mir jedes Ding neu ausdenken??

bearbeitet von willy-goergen
Link zu diesem Kommentar

Nicht ganz korrekt.Ich möchte Software über GPO verteilen.

Nicht ganz korrekt. Du möchstest _keine_ Software über GPO verteilen. Glaubs mir einfach. Ich mach das schon länger als du. ;)

 

Den geteilen Link schau ich mir schon noch an. Irgendwo steh ich ja noch ziemlich am Anfang.

Dann lies erst die Webseite und komm dann mit deinen Fragen wieder. :)

 

Ich würde es gut finden, wenn du darlegen könntest, warum du das für "Müll" befiindest. Findest du Starter-GPOs schlecht, weil sie halt schlecht sind?

Ein angepasstes System wird da wohl nicht mithalten können. Aber wieso sollte ich mir jedes Ding neu ausdenken??

Ist eh beerdigt das Thema Starter-GPOs, also schau dir wenn dann den SCM an. Und wenn man GPOs verstanden hat, braucht man den Kram "Starter-GPO" nicht.

 

Bye

Norbert

Link zu diesem Kommentar

Norbert hat mindestens dreimal recht:

 

1. Du willst KEINE Software per GPO verteilen. Zumindest nicht, solange Du nicht GANZ GENAU weißt, wie das technisch funktioniert...

 

2. Und Du willst die Starter-GPOs nicht verwenden. Das war ein "Schnellschuss" bei der Vista-Einführung, der inzwischen vom SCM tatsächlich abgelöst wurde. Nimm lieber SCM, exportiere die Baselines und übernimm die in eigene GPOs.

 

3. Du willst zunächst alle Grundlagenartikel von www.gruppenrichtlinien.de lesen. Erst danach stellst Du konkrete Verständnisfragen :cool:

 

Und übrigens gibt es auch mindestens (nein, "genau") ein gutes deutsches Buch zu Gruppenrichtlinien - ob ich mehr sagen darf, weiß ich nicht, siehe Signatur...

Link zu diesem Kommentar

...Nicht ganz korrekt. Du möchstest _keine_ Software über GPO verteilen. Glaubs mir einfach. Ich mach das schon länger als du. ;)

 

Ok... da hatte ich wohl "nichts" überlesen. :)

War nur ein Gedanke. Dass es nicht ganz einfach ist, habe ich auch schon gesehen. Meine Überlegung in der Sache war dahingehend, dass ich entweder eine kostenpflichtige Software dafür benutze oder die Lösung nehme, die bereits in Windows integriert ist. Weil letzteres im Prinzip schon da ist, habe ich mit Gedanken gespielt es zu nutzen.

 

Wenn ich dich richtig verstehe, willst du (wollt ihr?) mir nahelegen, lieber eine zusätzliche Software dafür zu kaufen, um die Rechner in der Firma mit den nötigen Updates (Java, Adobe Reader, etc.) zu versorgen?

 

 

...Du willst zunächst alle Grundlagenartikel von www.gruppenrichtlinien.de lesen. Erst danach stellst Du konkrete Verständnisfragen  :cool:

 

Werde ich machen. Bleibt wohl auch nicht aus. :)

Bei manchen Sachen tu ich mir aber leichter, wenn ich sie mal selbst ausprobiere (in VMs).

 

SCM werde ich mir auf jeden Fall ansehen. Dass an den Starter-GPOs nicht viel dran ist, habe ich auch schon gesehen. Ich wollte ja genau auf die Starter-Objekte hinaus, die das SCM bieten soll. Hatte da schon davon gelesen und ganz schlecht scheint es wohl nicht zu sein. War mir nicht so ganz sicher, ob das auch was taugt. Bzw. wollte ich da mal nachfragen, ob es generell erst mal eine Installation wert ist. Den Rest muss ich dann für mich sehen.

 

Von daher... erst mal vielen Dank für eure Antworten.

bearbeitet von willy-goergen
Link zu diesem Kommentar

Wenn ich dich richtig verstehe, willst du (wollt ihr?) mir nahelegen, lieber eine zusätzliche Software dafür zu kaufen, um die Rechner in der Firma mit den nötigen Updates (Java, Adobe Reader, etc.) zu versorgen?

 

Der WSUS Package Publisher in Kombination mit dem WSUS bietet schon sehr viel.

http://wsus.de/lup

http://wsus.de/wpp

 

Bitte nicht den LUP verwenden, der läuft nicht auf W2012 und höher. Der WPP dagegen wird ständig weiter entwickelt.

 

EDIT: Beim Flash Player, Reader und Java mußt Du darauf achten, dass die Updatefunktionalitäten auf den Clients abschaltest. Denn ein User klickt womöglich drauf und will updaten, im Normalfall fehlen ihm aber die NTFS-Berechtigungen dazu. Steht aber auch sehr viel dazu in den gep. Links zu wsus.de.

bearbeitet von Sunny61
Link zu diesem Kommentar

Wieder mal vielen Dank für die guten Tipps! Ich werde mir das zu gegebener Zeit ansehen. :)

 

Aktuell (ab nächster Woche) bin ich erst mal ein paar Tage auf Schulung. Bis dahin wollte ich sehen, dass in der Firma sonst alles im grünen Bereich läuft.

 

EDIT: Ist ein bisschen sehr OT. Mangels entsprechender Wartungsverträge (noch!), musste ich leider an einem Server ein defektes RDX-Gerät tauschen. Ein DELL RD 1000. Das hatte nach gut zwei Jahren seinen Dienst partiell eingestellt. Die Leute sollten es ja so einfach wie möglich beim Tausch des RDX-Moduls haben, wenn ich nicht da bin. Da lag heute ein bisschen mein Fokus drauf.

SCM habe ich mir auch angesehen und für ganz gut befunden. 

 

Aber gut... bitte freuen Sie sich jetzt!  :jau:

bearbeitet von willy-goergen
Link zu diesem Kommentar

Ich hatte heute richtig Probleme mit dem Thema GPOs. Wäre ja zu schön gewesen, wenn das problemlos funktioniert hätte.

 

Nach Tests in einer eigenen VM und einem Test an einem kleineren Teil der Belegschaft, habe ich eine GPO in der ganzen Firma ausgerollt.

Hauptsächlich betraf das die Windows Firewall. Daneben auch die automatische Sperre von Arbeitsrechnern, nach einer gewissen Zeit. 

 

Hauptsächlich hat mir die Windows Firewall, speziell unter Windows XP, Probleme gemacht. Die Gruppenrichtlinie wurde sauber verarbeitet. Danach ging der Spaß allerdings los.

 

- Die Firewall sollte standardmäßig eingeschalten sein

- standardmäßig Remotedesktopdienste durchlassen

- standardmäßig einen Ping ermöglichen

- standardmäßig Zugriff auf Netzwerkfreigaben ermöglichen

- standardmäßig ggf. auch lokal konfigurierbar sein.

 

Das war sie allerdings nicht. Nach der Umsetzung der GPO firmenweit, gingen die Probleme los und mein Telefon lief heiß.

Ich konnte das Problem zwar auf die Windows FW eingrenzen, allerdings verstehe ich überhaupt nicht, warum es die Probleme gab.

 

Im Nachhinein hat sich das alte Mistding nicht mehr umkonfigurieren lassen. Da war es egal, was als Gruppenrichtlinie (lokal oder in der Domäne) gesetzt war. Sämtliche XP-Rechner haben mit dem einem alten Stand gearbeitet.

Der wurde auf den ersten Blick noch nicht mal als "angewandt" angezeigt. Aber er war da.

 

Long story short: ich konnte mit der Systemwiederherstellung an sämtlichen betroffenen Rechnern den Ursprungszustand wieder herstellen. Anders ging's nicht.

 

Allerdings mache ich mir Gedanken, bzgl. zukünftiger Anpassungen.

Habt ihr schon ähnliche Erfahrungen gemacht?

 

Allg. Konfiguration der DCs:

- Win 2000 Domain

- Win 2008er Server 64 bit(2x)

- läuft ansonsten tadellos

 

- XP 32bit Clients

- Win 7 x64 Clients

bearbeitet von willy-goergen
Link zu diesem Kommentar

An einen Server bin ich bisher nicht gegangen. Ich muss sagen, glücklicherweise. Sonst wäre ich heute gar nicht mehr glücklich geworden.

 

Ich glaube, so wie du, auch nicht, dass es an der Domäne an sich liegt. Ich frage mich nur, was die Ursache für das Verhalten sein könnte. 

Ich lasse mich dabei mal völlig außen vor, da die GPO für die OU nicht mal mehr gegriffen hat.

 

Trotzdem hatten sie die XP-Rechner ganz tief in der Registry noch drinnen. Was ist da schief gelaufen?

bearbeitet von willy-goergen
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...